Opinia z 22 czerwca 2018 r. o projekcie ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości

(Minister Spraw Wewnętrznych i Administracji)

Rada Legislacyjna                                                                                               2018-06-22

 przy

Prezesie Rady Ministrów

    RL-033-12/18

                   

Opinia   

o projekcie ustawy o ochronie danych osobowych przetwarzanych

w związku z zapobieganiem i zwalczaniem przestępczości

 

  1. Wprowadzenie

Prezes Rządowego Centrum Legislacji pismem z dnia 20 kwietnia 2018 r. zwrócił się do Przewodniczącego Rady Legislacyjnej z wnioskiem o wyrażenie opinii przez Radę Legislacyjną o projekcie ustawy z dnia 18 kwietnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości.

 

II. Uwagi ogólne

1. Celem ustawy, której projekt został przedstawiony do zaopiniowania przez Radę Legislacyjną, jest wdrożenie do krajowego porządku prawnego dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającej decyzję ramową Rady 2008/977/WSiSW (Dz. Urz. UE L z 4.5.2016, str. 89 – dalej jako „dyrektywa 2016/680”). Z tego też względu ocena projektu ustawy została dokonana zarówno w kontekście krajowego porządku prawnego i wynikających z niego uwarunkowań, jak i w szczególny sposób z perspektywy zgodności zawartej w nim treści z wymogami dyrektywy 2016/680. W związku z tym należałoby już na wstępie zaznaczyć, że zgodnie z art. 63 ust. 1 dyrektywy, termin przyjęcia i publikacji odpowiednich przepisów niezbędnych do jej wykonania upłynął 6 maja 2018 r.

            Implementacyjny charakter, jaki będzie miała ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, powoduje że projektowi tego aktu powinna towarzyszyć tabela zbieżności. Rada Legislacyjna wielokrotnie podkreślała wagę tego dokumentu dla prawidłowej oceny projektu w procesie legislacyjnym i to zarówno w UE jak i w kraju.

 

2. Jak wynika z prowadzonych prac legislacyjnych nad nowa ustawą o ochronie danych osobowych oraz z przedstawionego do zaopiniowania projektu, konieczność zasadniczego przemodelowania polskiej regulacji prawnej w dziedzinie ochrony danych osobowych, nie tylko ze względu na powyższą dyrektywę, ale przede wszystkim w związku z wejściem w życie przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1), zaowocuje niemal równoczesnym wprowadzeniem do obrotu prawnego dwóch ustaw z tej samej dziedziny. Taka działalność legislacyjna potwierdza istniejącą we współczesnym prawodawstwie tendencję do dekonsolidacji regulacji w poszczególnych dziedzinach prawa. Rada Legislacyjna wielokrotnie w swoich opiniach wskazywała na negatywne konsekwencje tego zjawiska. W rozważanym przypadku zdaniem Rady Legislacyjnej nie było prawnych przeszkód do zamieszczenia w nowej ustawie o ochronie danych osobowych uregulowań ujętych w opiniowanym projekcie.

3. Rada Legislacyjna zwraca też uwagę na liczne treściowe niedostatki, jakie dostrzeżono w uzasadnieniu do opiniowanego projektu. W wielu bowiem miejscach sprowadza się ono wyłącznie do powtórzenia treści projektu ustawy. Należy zaznaczyć, że w uzasadnieniu brakuje między innymi informacji o tym czy, a jeżeli tak, to w jaki sposób, wykorzystano zalecenia sformułowane w opinii dotyczącej wdrożenia dyrektywy 2016/680 grupy roboczej artykułu 29 ds. ochrony danych osobowych (17/EN WP 258 Opinion on some key issues of the Law Enforcement Directive (EU 2016/680), przyjęta 29 listopada 2017 r.). Z pewnością ich pogłębiona analiza przydałaby się przy przygotowywaniu projektu ustawy.

Pozostałe konkretne przypadki braków w treści uzasadnienia wskazano w dalszej części opinii, albowiem są one związane z oceną szczegółowych rozwiązań. Natomiast jeszcze w tym miejscu Rada pragnie zgłosić zastrzeżenia o charakterze rzeczowym i redakcyjnym. Otóż w uzasadnieniu opiniowanego projektu ustawy znalazło się sformułowanie, z którego wynika, że prokuratura sprawuje wymiar sprawiedliwości (s. 5), co pozostaje w sprzeczności z art. 175 Konstytucji. Ponadto Rada Legislacyjna zwraca uwagę na niewłaściwe używanie terminu „zapis” (s. 14, 28). Z treści uzasadnienia wynika, iż projektodawca traktuje go jako synonim przepisu, postanowienia itd., podczas gdy „zapis” jest instytucją prawa spadkowego.

4. Zdaniem Rady opiniowany projekt wymaga jeszcze dopracowania redakcyjnego. Przykładowo w kilku miejscach posłużono się określeniem „przepisy prawa lub prawo Unii Europejskiej” (zob. np. art. 14 ust. 4 projektu). W tym przypadku lepszym sformułowaniem byłoby: „jeżeli przepisy prawa, w tym prawa Unii Europejskiej zezwalają na ich przetwarzanie”.

 

III. Opiniowany projekt w świetle konstytucyjnego prawa do ochrony danych osobowych

1. Projektowana ustawa wymaga analizy z punktu widzenia art. 51 Konstytucji. Przepis ten wyraża konstytucyjne prawo do ochrony danych osobowych. Przed przejściem do szczegółowych rozważań Rada Legislacyjna pragnie podkreślić, że z punktu widzenia oceny konstytucyjności nie ma znaczenia to, że opiniowany projekt jest projektem tzw. ustawy implementacyjnej. Z uwagi na hierarchię źródeł prawa w RP również tego typu ustawy powinny w pełni odpowiadać standardom konstytucyjnym (zob. np. wyrok TK z dnia 27 kwietnia 2005 r., sygn. akt P 1/05).

Rada Legislacyjna pragnie również podkreślić, że fakt, iż przepis projektu powtarza postanowienia dyrektywy lub posługuje się pojęciami zawartymi w dyrektywie nie ma znaczenia przesądzającego z punktu widzenia oceny jego zgodności z Konstytucją lub kanonami techniki prawodawczej. Istotą dyrektywy jest bowiem określenie celów, które powinny być zrealizowane przez ustawodawców krajowych. Ustawodawcom krajowym przysługuje zatem w tym zakresie pewien luz decyzyjny. Z tego względu przepisy dyrektyw nie muszą być skonstruowane w taki sposób, jaki jest wymagany od przepisów ustaw. Natomiast ustawodawca powinien dokonać implementacji w sposób, który będzie odpowiadał standardowi konstytucyjnemu.

2. Zgodnie z art. 51 ust. 2 Konstytucji „Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym”. „Pozyskiwanie”, „gromadzenie” i „udostępnianie”, o których mowa w powyższym przepisie, można uznać za czynności stanowiące „przetwarzanie danych osobowych” w rozumieniu przyjmowanym w ustawodawstwie. Przepis art. 51 ust. 2 Konstytucji oznacza zatem, że przetwarzanie przez organy władzy publicznej „informacji o obywatelu” – to znaczy informacji pozwalającej na zidentyfikowanie osoby – jest dopuszczalne wyłącznie wówczas, gdy jest to konieczne dla realizacji celu uzasadnionego interesem publicznym. Powyższy przepis należy odczytywać w związku z art. 31 ust. 3 Konstytucji, wyrażającym ogólną zasadę proporcjonalności ingerencji państwa w wolności lub prawa jednostek. Kryterium niezbędności, o którym mowa w art. 51 ust. 2 Konstytucji, nie ma natomiast zastosowania do informacji, które nie pozwalają na zidentyfikowanie danej osoby (np. na skutek anonimizacji), lub w sytuacji, gdy zidentyfikowanie osoby jest znacznie utrudnione (np. na skutek pseudonimizacji). W odniesieniu do przetwarzania tego typu informacji swoboda ustawodawcy jest znacznie szersza, co oznacza, że takie informacje mogą być przetwarzane nie tylko w sytuacjach, gdy jest to niezbędne w państwie demokratycznym dla ochrony wartości wymienionych w art. 31 ust. 3 Konstytucji.

Zgodnie z art. 51 ust. 3 zdanie pierwsze Konstytucji „Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych”. Z przepisu tego wynika, że jeśli organ władzy publicznej prowadzi zbiór danych, w których znajdują się informacje dotyczące określonej osoby, to osoba ta ma prawo do żądania wglądu do takiego zbioru. Warunkiem realizacji tego prawa jest możliwość uzyskania informacji o tym, czy w zbiorach prowadzonych przez dany organ władzy publicznej znajduje się jakakolwiek informacja o konkretnej osobie. W przeciwnym razie prawo, o którym mowa w art. 51 ust. 3 Konstytucji, byłoby pozorne. Zgodnie ze zdaniem drugim ww. przepisu „Ograniczenie tego prawa może określić ustawa”. Przepis ten należy odczytywać w związku z ogólną zasadą proporcjonalności (art. 31 ust. 3 Konstytucji), a ponadto jako wzmacniający wymóg zamieszczenia regulacji ograniczającej w ustawie (o tej kwestii będzie jeszcze mowa niżej).

Przepis art. 51 ust. 4 Konstytucji stanowi, że „Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą”. Prawo, o którym mowa w tym przepisie, również może podlegać ograniczeniom na zasadach określonych w art. 31 ust. 3 Konstytucji. Warto jednak podkreślić, że w zasadzie nie istnieje interes publiczny, który uzasadniałby utrzymywanie w zbiorach danych informacji nieprawdziwych. Co więcej, zaniechanie usunięcia tego typu informacji nie tylko narusza autonomię informacyjną jednostki, lecz również może prowadzić do zakłócenia prawidłowego funkcjonowania organu władzy publicznej, w którego posiadaniu znajduje się informacja niezgodna z rzeczywistością. W konsekwencji usunięcie tego typu informacji należy uznać za konieczne nie tylko z punktu widzenia praw jednostek, lecz również z punktu widzenia wyrażonej w preambule Konstytucji zasady sprawnego i rzetelnego działania instytucji publicznych. Usunięcie informacji nieprawdziwych powinno zatem być obowiązkiem organu władzy publicznej nie tylko wówczas, gdy wystąpi o to osoba, której informacja dotyczy.

Zgodnie z art. 51 ust. 5 Konstytucji „Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa”. Jest to kolejny fragment art. 51, w którym podkreślono, że regulacje dotyczące prawa do ochrony danych osobowych powinny znajdować się w ustawie (zob. też art. 51 ust. 1, który mówi, że „Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby”). Tak silne wyeksponowanie zasady wyłączności ustawy w kolejnych ustępach art. 51 Konstytucji należy odczytywać w taki sposób, że regulacje dopuszczające przetwarzanie danych osobowych przez organy władzy publicznej, a także ograniczające poszczególne uprawnienia jednostek wskazane w art. 51 powinny znajdować jednoznaczną i precyzyjną podstawę w ustawie. Chodzi nie tylko o formalne zamieszczenie w ustawie przepisu przyznającego organom władzy publicznej kompetencję do przetwarzania danych osobowych, lecz również o odpowiednią jakość tych przepisów. Nie powinny one przyznawać organom władzy publicznej nadmiernej swobody decyzyjnej w omawianym zakresie (np. przez posługiwanie się pojęciami nieostrymi czy klauzulami generalnymi), a w przypadku, gdy swoboda taka jest konieczna, powinien istnieć efektywny mechanizm odwoławczy umożliwiający realną kontrolę legalności podejmowanych czynności, dokonywaną przez niezależne organy, w szczególności sądy. Innymi słowy, pewien zakres swobody organów władzy publicznej w przetwarzaniu informacji o jednostkach jest konieczny – zwłaszcza gdy chodzi o organy zajmujące się zapobieganiem i zwalczaniem przestępstw – jednak powinien być on zrównoważony gwarancjami proceduralnymi, do których należy przede wszystkim efektywna kontrola sądu.

 

IV. Uwagi szczegółowe

1. W rozdziale 1 zatytułowanym „Przepisy ogólne” określono zakres przedmiotowy projektowanej ustawy oraz zamieszczono definicje, kluczowych dla tej regulacji pojęć.

Zgodnie z art. 1 ust. 1 projektu, ustawa określa: 1) zasady i warunki ochrony danych osobowych przetwarzanych w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, w tym zagrożeń dla bezpieczeństwa i porządku publicznego, prowadzenia postępowań w sprawach dotyczących tych czynów oraz wykonywania orzeczeń w nich wydanych, kar porządkowych i środków przymusu; 2) prawa osób, których dane osobowe są przetwarzane, w celach o których mowa w pkt. 1, oraz środki ochrony prawnej przysługujące tym osobom; 3) sposób prowadzenia nadzoru nad ochroną danych osobowych przetwarzanych w celach, o których mowa w pkt. 1, z wyłączeniem danych osobowych przetwarzanych przez prokuraturę i sądy.

            Deklarowana w przywołanym przepisie struktura ustawy nie przekłada się na kolejność rozdziałów, ponieważ po „Przepisach ogólnych” przewidziano rozdział 2 dotyczący nadzoru nad przetwarzaniem danych osobowych, a dopiero po nim zamieszczono przepisy o zasadach przetwarzania danych osobowych oraz regulacje normujące prawa osoby, której dotyczą dane osobowe. Powyższa niekonsekwencja czyni układ ustawy różny od tego, który jest przewidziany w rozporządzeniu Prezesa Rady Ministrów z dnia 20 czerwca 2002 r. w sprawie „Zasad Techniki Prawodawczej” (dalej: „ZTP”). Stosownie bowiem do § 24 ust. 1 ZTP, przepisy szczegółowe zamieszcza się w następującej kolejności: 1) przepisy prawa materialnego; 2) przepisy ustrojowe; 3) przepisy proceduralne; 4) przepisy o karach pieniężnych i przepisy karne.

Art. 1 ust. 2 wyłącza spod zakresu regulacji projektowanej ustawy dane osobowe wymienione w pkt. 1-7. Redakcja tego przepisu budzi pewne zastrzeżenia Rady Legislacyjnej. Po pierwsze, za istotne ograniczenie należy uznać wyłączenie stosowania ustawy do danych znajdujących się w aktach spraw i czynności prowadzonych na podstawie ustaw wskazanych w art. 1 ust. 2 pkt 1, według którego przepisów ustawy nie stosuje się do ochrony danych osobowych: 1) znajdujących się w aktach, w tym tworzonych i przetwarzanych z wykorzystaniem technik informatycznych, spraw i czynności prowadzonych na podstawie ustawy o postępowaniu w sprawach nieletnich, ustawy – Kodeks karny wykonawczy, ustawy  – Kodeks postępowania karnego ustawy – Kodeks postępowania w sprawach o wykroczenia, ustawy o postępowaniu wobec osób z zaburzeniami psychicznymi stwarzających zagrożenie życia, zdrowia lub wolności seksualnej innych osób, ustawy  – Prawo o prokuraturze oraz wydanych na ich podstawie aktów wykonawczych. Zdaniem Rady Legislacyjnej dane osobowe zawarte w wymienionych wyżej zbiorach również powinny być odpowiednio chronione, zgodnie ze standardem wynikającym z art. 51 Konstytucji. W związku z powyższym Rada Legislacyjna uważa, że w uzasadnieniu projektu powinno znaleźć się wyjaśnienie, jakie – po wejściu w życie ustawy – będą podstawy prawne ochrony danych osobowych znajdujących się we wskazanych wyżej zbiorach danych.

            Po drugie, zgodnie z art. 1 ust. 2 pkt 7 ustawa nie będzie miała zastosowania do danych „przetwarzanych w związku z zapewnieniem bezpieczeństwa narodowego”. Projektodawca co prawda wskazał, że chodzi o zbiory prowadzone przez służby specjalne (ABW, AW, SKW, SWW, CBA) – co jest zrozumiałe – jednak posłużenie się zwrotem „w tym” oznacza, iż jest to katalog otwarty, a wskazane wyliczenie ma charakter przykładowy. Dlatego też Rada Legislacyjna sugeruje projektodawcy rozważenie zamieszczenia w ustawie wyczerpującego i jednoznacznego katalogu organów państwa, do których ustawa będzie znajdowała zastosowanie.

Należy ponadto zaznaczyć że dyrektywa 2016/680 w art. 2 ust. 3 pkt a dopuszcza wyłączenie ze względu na „bezpieczeństwo narodowe”. Przepis ten bowiem stanowi, że „Niniejsza dyrektywa nie ma zastosowania do przetwarzania danych osobowych: a) w ramach działalności nieobjętej zakresem prawa Unii (…)”. Motyw 14 preambuły doprecyzowuje, że „Niniejsza dyrektywa nie powinna mieć́ zastosowania do przetwarzania danych osobowych w toku działalności wykraczającej poza zakres prawa Unii, dlatego czynności w zakresie bezpieczeństwa narodowego, czynności agencji lub jednostek zajmujących się bezpieczeństwem narodowym, ani przetwarzania danych osobowych przez państwa członkowskie podczas czynności, które wchodzą̨ w zakres zastosowania tytułu V rozdział 2 Traktatu o Unii Europejskiej (TUE), nie należy uznawać za czynności wchodzące w zakres niniejszej dyrektywy”.

Trzeba przy tym pamiętać, że pojęcie „bezpieczeństwo narodowe” ma w prawie UE określone znaczenie, które różni się zasadniczo od pojęcia „bezpieczeństwa wewnętrznego”. W prawie UE są to pojęcia rozdzielne, o bezpieczeństwie narodowym mowa jest w art. 4 ust. 2 TUE, art. 73 TFUE, natomiast o bezpieczeństwie wewnętrznym np. w art. 71 oraz art. 72 TFUE. W świetle tego wątpliwe jest wyłączenie spod zakresu regulacji ustawy całej działalności Agencji Bezpieczeństwa Wewnętrznego, Agencji Wywiadu, Służby Kontrwywiadu Wojskowego, Służby Wywiadu Wojskowego, a zwłaszcza Centralnego Biura Antykorupcyjnego.

W art. 3 projektu ustawy zamieszczono legalną definicję „danych osobowych”, a w art. 4 definicje innych kluczowych dla tej regulacji pojęć. Definicje te odpowiadają definicjom zamieszczonym w dyrektywie. Zabieg taki, który w innych okolicznościach można by uznać za wątpliwy, w tym przypadku z uwagi na liczbę tych definicji, wydaje się słuszny, ponieważ ewentualne odesłanie do treści art. 3 dyrektywy 2016/680 w praktyce stosowania ustawy byłoby uciążliwe.

Trzeba też zaznaczyć, że projektowana ustawa wprowadza także dodatkowe definicje nieznane dyrektywie 2016/680. I tak art. 3 pkt 8 projektu ustawy – wprowadza definicję pojęcia „organu nadzorczego Unii Europejskiej”. Określenie to jest mylące, nie chodzi tu bowiem o żaden organ nadzorczy UE jako takiej, lecz o „niezależny organ publiczny ustanowiony przez inne niż Rzeczypospolita Polska państwo członkowskie Unii Europejskiej, powołany dla ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem oraz ułatwiania swobodnego przepływu danych osobowych w Unii Europejskiej”. W związku z tym przepis powinien raczej definiować pojęcie „organu nadzorczego innego państwa członkowskiego UE związanego dyrektywą 2016/680”. Nie wszystkie bowiem państwa członkowskie UE są związane tą dyrektywą, co zostanie podniesione w dalszej części niniejszej opinii.

W podobny, uproszczony sposób, art. 3 pkt 10 definiuje „organy ścigania państw członkowskich Unii Europejskiej”. Nie chodzi tu tylko o organy państw członkowskich Unii Europejskiej, ale także o organy „państw niebędących państwami członkowskimi Unii Europejskiej stosujących przepisy dorobku Schengen”. Określenie „stosujących przepisy dorobku Schengen” jest nieprecyzyjne, powinno być raczej „związanych dorobkiem Schengen” lub „należących do strefy Schengen”.  

Wątpliwości Rady Legislacyjnej budzi definicja – „państwa trzeciego”, przez które w projekcie ustawy rozumie się: „państwo niebędące państwem członkowskim Unii Europejskiej i niestosujące przepisów dorobku Schengen”. Zdaniem Rady rozważenia wymaga to, czy nie lepszym określeniem jest „państwo niezwiązane dyrektywą 2016/680”. Po pierwsze, ustawa powinna uwzględnić fakt, że dyrektywa 2016/680 nie ma zastosowania do wszystkich państw członkowskich UE (nie stosuje się do Zjednoczonego Królestwa i Irlandii, wyjaśnienia wymaga czy stosuje się do Danii). Po drugie, ustawa powinna uwzględnić, że dyrektywa wiąże takie państwa jak Islandia, Norwegia, Szwajcaria czy Lichtenstein (zob. motyw 99 i n. preambuły dyrektywy). W tym kontekście przemyślenia wymaga także wspomniana wyżej definicja „organów ścigania państw członkowskich Unii Europejskiej”. Powstaje bowiem na tym tle pytanie, czy obejmuje ona np. Irlandię lub Zjednoczone Królestwo.

W tym miejscu trzeba także zauważyć, że co najmniej kilka przepisów projektu odwołuje się do pojęcia „państw członkowskich Unii Europejskiej”, np. art. 44. Powstaje zatem kolejne pytanie, czy naprawdę chodzi o wszystkie państwa członkowskie UE czy raczej o państwa członkowskie UE związane dyrektywą 2016/680 lub czy nie powinno być użyte określenie „państwa związane dyrektywą 2016/680”.

            W ocenie Rady Legislacyjnej, zastrzeżenie wywołuje również definicja ustawowa organizacji międzynarodowej (art. 3 pkt 9 projektu ustawy), która nie jest zgodna z definicją międzynarodowo-prawną. Proponowana definicja jest szersza, ponieważ obejmuje organy podlegające organizacji międzynarodowej, a także organy nie mające nic wspólnego z organizacją, ustanowione na podstawie umowy międzynarodowej. Tego typu uproszczenie usprawiedliwić mogą tylko względy praktyczne. Definicja ustawowa jest identyczna z definicją zawartą w art. 3 pkt 16 dyrektywy 2016/680 oraz w art. 4 pkt 26 rozporządzenia 2016/679. 

2. Przepisy rozdziału 2, dotyczące nadzoru nad przetwarzaniem danych osobowych ustanawiają Prezesa Urzędu Ochrony Danych Osobowych (dalej: „Prezes UODO”) organem nadzorującym w rozumieniu art. 41 dyrektywy, określają jego zakres działania i kompetencje służące realizacji zadań nadzorczych. Z art. 6 projektu ustawy, zawierającego katalog zadań powierzonych Prezesowi Urzędu Ochrony Danych Osobowych wynika, że na sprawowany przez niego nadzór nad przetwarzaniem danych osobowych składają się zarówno działania władcze jak i niewładcze. W ramach sprawowanego nadzoru organ ten jest upoważniony do prowadzenia postępowań kontrolnych oraz postępowań administracyjnych w rozumieniu kodeksu postępowania administracyjnego. Prawna regulacja zakresu działania i kompetencji organu nadzorującego, jak i tryb jego działania, nie budzą zastrzeżeń Rady poza wskazanymi poniżej przypadkami.

            Po pierwsze, Rada Legislacyjna pragnie zwrócić uwagę na regulację, zgodnie z którą nadzór Prezesa UODO nie będzie obejmował danych przetwarzanych przez prokuraturę i sądy (art. 5 ust. 2). Gdy chodzi o sądy, będące organami niezależnymi i sprawującymi wymiar sprawiedliwości, to wyłączenie, o którym mowa, nie budzi wątpliwości. Nie jest natomiast jasne, z jakich przyczyn wyłączeniem tym objęto prokuraturę. Wszak prokuratorzy nie są organami sprawującymi wymiar sprawiedliwości, wyposażonymi w konstytucyjne gwarancje niezależności i niezawisłości (por. art. 175 ust. 1 Konstytucji). Projektodawca powinien zatem zrezygnować z tego wyłączenia lub przynajmniej wyjaśnić w uzasadnieniu projektu, jakie racje przemawiały za wskazanym wyłączeniem, a także jakie będą po wejściu w życie ustawy zasady nadzoru nad danymi osobowymi przetwarzanymi przez prokuraturę.

Po drugie, w art. 7 projektu przyznano Prezesowi UODO kompetencję do dokonywania kontroli przetwarzania danych osobowych. Kompetencja ta została jednak ograniczona wyłącznie do wykonywania zadań, o których mowa w art. 6 ust. 1 pkt 1 i 5–7 (1), (tj. monitorowanie i egzekwowanie stosowania przepisów niniejszej ustawy oraz wydanych na jej podstawie aktów wykonawczych; 5) sprawdzanie zgodności przetwarzania danych osobowych z przepisami niniejszej ustawy w przypadku zastosowania przez administratora art. 24 ust. 3 oraz informowanie osoby, której dane dotyczą, w terminie do 30 dni o wynikach tego sprawdzenia lub o powodach jego nieprzeprowadzenia; 6) prowadzenie postępowania w sprawie stosowania niniejszej ustawy, w tym na podstawie informacji otrzymanych od innego organu publicznego; 7) monitorowanie zmian mających wpływ na ochronę danych osobowych, w szczególności rozwój technologii informacyjno-komunikacyjnych). Rada Legislacyjna sugeruje rozszerzenie tego zakresu również na zadanie wskazane w art. 6 ust. 1 pkt 4, czyli rozpatrywanie zażaleń, o których mowa w art. 50 (o kwestii tej będzie mowa niżej). Wydaje się, że dla rzetelnego i efektywnego rozpatrzenia zażalenia jednostki, która twierdzi, że jej prawo do ochrony danych osobowych zostało naruszone, Prezes UODO powinien mieć możliwość dokonania kontroli w instytucji, której zarzuca się naruszenie prawa. W przeciwnym razie prawo do zażalenia może mieć charakter iluzoryczny, gdyż Prezes UODO może nie dysponować ustaleniami koniecznymi dla prawidłowej oceny zarzutów postawionych w zażaleniu. Trzeba też pamiętać, że wyniki kontroli mogą okazać się niezbędne dla prawidłowego rozstrzygnięcia sprawy przez sąd administracyjny, do którego kompetencji będzie należała ocena legalności decyzji Prezesa UODO. Kwestia ta ma więc zasadnicze znaczenie z punktu widzenia wynikającej z art. 51 Konstytucji potrzeby zapewnienia efektywnej kontroli sądowej nad procesem przetwarzania danych osobowych przez organy władzy publicznej.

3. Rozdział trzeci projektu ustawy, zgodnie ze swoim tytułem określa i rozwija zasady przetwarzania danych osobowych. Z przepisów art. 14-23 można zrekonstruować w szczególności zasady: 1) ograniczenia przetwarzania danych osobowych przez upoważnione do tego organy wyłącznie w celach określonych w ustawie oraz w zakresie niezbędnym dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (art. 14); 2) zakazu przetwarzania danych sensytywnych poza wyjątkami określonymi w ustawie (art. 15); 3) zakazu rozstrzygania indywidualnych spraw na niekorzyść osoby, której dane dotyczą wyłącznie w wyniku przetwarzania danych osobowych w sposób zautomatyzowany oraz dokonywania ich na podstawie danych sensytywnych (art. 16); 4) weryfikacji danych osobowych przez administratora w ustawowo określonych terminach (art. 17); 5) podejmowania określonych w ustawie działań w celu ochrony danych osobowych (art. 18-21); 6) określające warunki przesyłania i udostępniania danych osobowych innym uprawnionym podmiotom (art. 22-23).

Zasady te będą stanowiły podstawowy wzorzec oceny działań organów przetwarzających dane, umożliwiając Prezesowi UODO, a następnie sądom administracyjnym, weryfikację legalności tych działań. Z tego też powodu przepisy zawarte w rozdziale 3 powinny cechować się dostatecznym poziomem precyzji, umożliwiającym rzeczywistą kontrolę legalności przetwarzania danych osobowych. Z tego punktu widzenia Rada Legislacyjna zgłasza poniższe uwagi.

Po pierwsze, przepisy zawarte w analizowanym rozdziale posługują się takimi pojęciami, jak „w zakresie niezbędnym” (art. 14 ust. 1 i 5), „jest niezbędne i proporcjonalne” (art. 14 ust. 3 pkt 2), „jest to niezbędne” (art. 14 ust. 4), „jest to konieczne” (art. 15 ust. 2 pkt 1). Wskazana terminologia wymaga ujednolicenia.

Po drugie, niektóre przepisy zawarte w rozdziale 3 posługują się nieczytelnymi odesłaniami lub pojęciami nieostrymi, co znacznie osłabia – a niekiedy czyni wręcz iluzorycznym – walor gwarancyjny tych przepisów. Chodzi o takie sformułowania, jak „o ile podlega ono odpowiednim zabezpieczeniom praw i wolności osób, których dane dotyczą” (art. 14 ust. 5), „jest to konieczne dla osiągnięcia prawnie dopuszczalnych celów określonych w odrębnych przepisach” (art. 15 ust. 2 pkt 1 lit. a), „jest to konieczne dla ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby” (art. 15 ust. 2 pkt 1 lit. b), „mające dla niej niekorzystne skutki prawne lub poważnie na nią wpływające” (art. 16 ust. 1), „odpowiednie zabezpieczenie praw i wolności osoby” (art. 16 ust. 1), „chyba że istnieją właściwe środki ochrony praw, wolności i uzasadnionych interesów osoby” (art. 16 ust. 2).

Po trzecie, niezrozumiałe jest rozwiązanie zawarte w art. 16 projektu. W przepisie tym wprowadzono zakaz „ostatecznego rozstrzygnięcia indywidualnej sprawy” w wyniku przetwarzania danych osobowych w sposób zautomatyzowany (np. profilowania). Nie wiadomo przede wszystkim, do jakich podmiotów ww. zakaz jest adresowany. Pod pojęciem „ostateczne rozstrzygnięcie” można bowiem rozumieć np. decyzję administracyjną, orzeczenie sądowe, postanowienie prokuratora. Ponadto, o czym była już mowa wyżej, analizowany przepis posługuje się pojęciami, których znaczenie jest trudne lub wręcz niemożliwe do ustalenia – „niekorzystne skutki prawne”, skutki „poważnie na nią [tj. na osobę, której dotyczą dane] wpływające”, „odpowiednie zabezpieczenia praw i wolności osoby”, „właściwe środki ochrony praw, wolności i uzasadnionych interesów osoby”.

Po czwarte, w art. 20 projektu zobowiązano administratorów danych do zapewnienia podziału danych na określone kategorie w zależności od tego, jakich osób dane dotyczą. Wśród tych kategorii znajdują się np. osoby, w stosunku do których „istnieją poważne podstawy, by przypuszczać, że popełniły lub zamierzają popełnić czyn zabroniony”. Wyodrębniono również np. kategorię osób, które „mają kontakty lub powiązania” z osobami, o których mowa w pkt. 1 lub 2. Rada Legislacyjna pragnie zwrócić uwagę na to, że pojęcia, jakimi posługuje się projektodawca w art. 20, w znacznej części nie są pojęciami języka prawnego. Ich znaczenie jest niejasne, a ponadto nie wiadomo, kto ma decydować o zakwalifikowaniu określonej osoby do jednej z kategorii, a także w oparciu o jakie przesłanki ma się to odbywać. W związku z tym Rada Legislacyjna sugeruje projektodawcy doprecyzowanie ww. regulacji.  

Ponadto należy dodać, że wprowadzenie do art. 20 jest skonstruowane w sposób wadliwy z językowego punktu widzenia. Chodzi o fragment „(…) o ile rozróżnienie to jest niemożliwe lub dalece utrudnione (…)”. Fragment ten powinien brzmieć „(…) chyba że rozróżnienie to jest niemożliwe lub dalece utrudnione (…)”. 

4. W rozdziale 4 przyznano jednostkom uprawnienia do zwracania się do administratorów z żądaniem udzielenia określonych informacji dotyczących danych osobowych. W szczególności art. 24 ust. 1 projektu gwarantuje prawo do uzyskania informacji „o przetwarzaniu” danych osobowych wnioskodawcy. W pojęciu „przetwarzanie” mieści się m.in. „zbieranie, uzyskiwanie, utrwalanie, organizowanie, porządkowanie, przechowywanie” danych. Oznacza to, że projektodawca daje jednostkom możliwość dowiedzenia się, czy dany organ władzy publicznej jest w ogóle w posiadaniu jakichkolwiek danych dotyczących osoby zainteresowanej. Jest to rozwiązanie zasługujące na aprobatę, gdyż umożliwia ono realizację prawa jednostki, o którym mowa w art. 51 ust. 3 Konstytucji (o czym była mowa wyżej). Również przypadki, w których wnioskodawcy nie udziela się informacji, wyliczone w art. 24 ust. 3 projektu, zasługują na aprobatę, gdyż każdy z nich znajduje swoje umocowanie w wartościach uzasadniających ograniczenie wolności lub praw konstytucyjnych, wymienionych w art. 31 ust. 3 Konstytucji. W tym przypadku ważne jest jednak, aby mechanizmy kontroli stosowania ww. regulacji cechowały się odpowiednią efektywnością. Zagadnienie to będzie poruszone w dalszej części niniejszej opinii.

Prawa jednostek, o których mowa w art. 51 ust. 4 Konstytucji, są zagwarantowane w art. 26 ust. 1 projektu. Przepis ten przyznaje osobie, której dotyczą dane, uprawnienie do żądania uzupełnienia, uaktualnienia lub sprostowania danych, a także do ich usunięcia. W tym ostatnim przypadku należy jednak rozważyć, czy ograniczenie prawa do usunięcia danych, które zostały zebrane w sposób sprzeczny z ustawą lub stały się zbędne dla realizacji celu, jaki przyświecał ich zebraniu, do zbiorów jawnych, jest rzeczywiście konieczne. Rada Legislacyjna stoi na stanowisku, że projektodawca powinien zrezygnować z tego ograniczenia lub przynajmniej wyjaśnić tę kwestię w uzasadnieniu projektu. Wszak prawa zagwarantowane w art. 51 ust. 4 Konstytucji nie zostały ograniczone do zbiorów jawnych, lecz dotyczą wszelkich zbiorów danych prowadzonych przez organy władzy publicznej.

5. Przepisy rozdziału 5 projektu opiniowanej ustawy określają uprawnienia i obowiązki administratora (współadministratora) oraz podmiotu przetwarzającego, definiowanych odpowiednio w art. 4 pkt 1 i pkt 13, a także inspektora danych, którego prawno-ustrojową pozycję normują przepisy art. 46. Rozwiązania przyjęte w przepisach tego rozdziału Rada Legislacyjna ocenia pozytywnie.

6. Rozdział 6 projektu ustawy dotyczy współpracy z organami nadzorczymi Unii Europejskiej (problem niezręczności i niedokładności tego określenia był już wyżej sygnalizowany). Zawiera on dwa przepisy stanowiące wykonanie art. 50 dyrektywy 2016/680. Art. 48 dotyczy postępowania z wnioskami przychodzącymi od organów zagranicznych, natomiast art. 49 normuje uprawnienia Prezesa Urzędu do zwracania się o pomoc do organów zagranicznych. Wydaje się, że kolejność tych przepisów powinna być odwrotna, w świetle art. 49 projektu działania określone w art. 48 stałyby się klarowniejsze.

Art. 48 w zasadzie powtarza przepisy dyrektywy. Wątpliwości budzi ustęp 4 wykonujący art. 50 ust. 4 (1) dyrektywy 2016/680. Przepis projektu ustawy stanowi, że Prezes Urzędu może odmówić realizacji wniosku o pomoc wyłącznie w przypadku gdy „nie jest organem właściwym w zakresie przedmiotu tego wniosku”. Dyrektywa dodaje jeszcze jeden przypadek – gdy organ nadzorczy nie jest organem właściwym w zakresie „środków, o których wykonanie wystąpiono”. Uzasadnienie projektu nie wyjaśnia przyczyny tego pominięcia (s. 24 uzasadnienia). Niekoniecznie przyjęte określenie konsumuje ten drugi przypadek.

Dalej projekt stanowi, że Prezes Urzędu może odmówić wykonania wniosku o pomoc, jeśli „wykonanie tego wniosku naruszyłoby przepis prawa”. Określenie to jest niezręczne. Z art. 50 ust. 4 pkt b wynika, że chodzi o naruszenie dyrektywy 2016/680 lub ogólnie prawa UE lub prawa polskiego. Stąd też lepsze – zdaniem Rady Legislacyjnej – byłoby sformułowanie – „wykonanie tego wniosku byłoby niezgodne z prawem”.

Przepis art. 48 ust. 9 projektu ustawy transponuje art. 50 ust. 7 zdanie 2. Stanowi on: „W szczególnie uzasadnionych przypadkach, Prezes Urzędu oraz organ nadzorczy Unii Europejskiej mogą uzgodnić zasady wzajemnej rekompensaty wydatków poniesionych w wyniku realizacji konkretnego wniosku o pomoc”. W ocenie Rady jest to zbyt dosłowne powtórzenie dyrektywy. Wymaga ono przeformułowania. Polski przepis nie powinien bowiem wskazywać uprawnień organowi państwa obcego, lecz uprawnienie Prezesa Urzędu do uzgodnienia zasad wzajemnej rekompensaty z organem nadzorczym innego państwa członkowskiego.

Zgodnie z art. 49 ust. 3 projektu ustawy: „Prezes Urzędu może wykorzystywać informacje otrzymane od innego państwa członkowskiego Unii Europejskiej wyłącznie w celu określonym we wniosku o pomoc”. Przepis posługuje się pojęciem państwa członkowskiego UE, chociaż zgodnie z dyrektywą współpraca dotyczyć ma wszystkich państw związanych dyrektywą 2016/680. Rodzi to pytanie, czy w obecnym brzmieniu nie jest on zbyt wąsko sformułowany.

7. Najwięcej wątpliwości w ocenie Rady Legislacyjnej budzą przepisy rozdziału 7 „Środki ochrony prawnej i odpowiedzialności prawnej”. Przede wszystkim zasadne jest pytanie o to czy środki te ograniczają się do zażalenia (art. 50), wniosku o ponowne rozpatrzenie sprawy (art. 51) oraz skargi do sądu administracyjnego na decyzje w sprawie rozpatrzenia zażalenia bądź na niezałatwienie sprawy w ustawowym terminie (art. 52), czy też za środki takie należy również uznać przewidziane w przepisach pozostających poza rozdziałem 7 wnioski o: 1) nakazanie przywrócenia stanu zgodnego z prawem (art. 9 ust. 1), 2) wydanie administratorowi lub podmiotowi przetwarzającemu „ostrzeżenia” (art. 9 ust. 2), 3) nakazanie dopełnienia przez administratora obowiązku, o którym mowa w art. 26 ust. 1, 5 lub 6 (art. 26 ust. 7), 4) weryfikację zasadności zastosowania przez administratora przesłanek, o których mowa w art. 24 ust. 2, art. 25 ust. 2 oraz art. 26 ust. 3 (art. 28 ust. 1 pkt 2)?

Ponadto treść projektu ustawy nie daje odpowiedzi na pytanie o to, jaka jest relacja między wymienionymi wyżej wnioskami spoza rozdziału 7 i zażaleniem, które może być wniesione na podstawie art. 50 projektu. W szczególności nie wiadomo czy w przypadkach, w których przysługuje jeden z tych wniosków, będzie możliwe złożenie zażalenia bądź czy wcześniejsze rozpoznanie wniosku jest warunkiem dopuszczalności wniesienia zażalenia. Nie jest również jasne (poza wnioskiem, o którym mowa w art. 9 ust. 1), w jakiej formie następuje uwzględnienie lub nieuwzględnienie wniosku, a także czy rozpatrzenie wniosku powinno być podporządkowane regułom postępowania administracyjnego. Jest to kwestia szczególnie istotna, gdyż skarga do sądu administracyjnego przysługuje tylko na decyzje Prezesa UODO, o czym stanowi art. 52 ust. 1 projektu.

Dlatego też Rada Legislacyjna wskazuje na konieczność uporządkowania środków odwoławczych, jakie osoba, której dotyczą dane, może składać do Prezesa UODO, a także na potrzebę jednoznacznego wyjaśnienia, że środki te są rozpatrywane w drodze decyzji administracyjnej. W przeciwnym bowiem razie mogą w praktyce powstać istotne wątpliwości co do tego, które czynności Prezesa UODO podlegają zaskarżeniu do sądu administracyjnego, a także jaki jest proceduralny wzorzec oceny tych czynności. Z punktu widzenia standardów konstytucyjnych osoba, której dane dotyczą, powinna mieć możliwość przedstawienia swoich racji w postępowaniu sądowym w każdym przypadku, gdy uważa, że jej prawo do ochrony danych osobowych zostało naruszone przez podmiot przetwarzający dane.

8. Rozdział 8 „Przepisy karne” zawiera dwa artykuły, przewidujące odpowiedzialność karną za zachowania sprzeczne z postanowieniami projektu.

            Oba przepisy są prawidłowo sformułowane według tradycyjnej formuły. Podmiotem tych przestępstw może być każdy, a więc są to przestępstwa powszechne. Interpretacja znamion strony przedmiotowej nie budzi żadnych zastrzeżeń. W dyspozycji przepisu 55 ust. 1 wskazane jest, że odpowiedzialności karnej podlega ten, kto przetwarza dane osobowe w sytuacji gdy nie jest to dopuszczalne, albo w sytuacji gdy podmiot przetwarzający dane osobowe nie jest do tego uprawniony.

            W projekcie znajdujemy precyzyjne wyjaśnienie kiedy nie jest to dopuszczalne i kto nie jest do tego uprawniony.

            Interpretacja ustawowych znamion strony podmiotowej, również nie budzi wątpliwości, bowiem w myśl przepisu art. 8 k.k., przestępstwo to można popełnić tylko umyślnie.

Podobnie jest w odniesieniu do art. 55 ust. 2, w którym projektodawca używa ustawowego znamienia „dane sensytywne”. Tu jednak trzeba najpierw zauważyć, że sam termin „dane sensytywne” jest kalką z języka angielskiego. Zdaniem Rady Legislacyjnej projekt ustawy powinien być spójny z rozporządzeniem 2016/679, w którym używa się terminu „dane wrażliwie”, zob. np. motyw 10 rozporządzenia. Niemniej, znamię jest precyzyjnie wyjaśnione. Użyty w art. 55 ust. 2 projektu termin dane sensytywne został wyjaśniony w treści projektu. Zgodnie z art. 15 projektu niedopuszczalne jest przetwarzanie danych osobowych, które ujawniają pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne bądź światopoglądowe lub przynależność do związków zawodowych. Danymi sensytywnymi są również te, które dotyczą informacji genetycznych, danych biometrycznych – gdy używa się ich w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia lub danych dotyczących seksualności i orientacji seksualnej osoby fizycznej. Przepis ten określa również wyjątkową możliwość przetwarzania danych sensytywnych z wyjątkiem danych dotyczących seksualności i orientacji seksualnej, gdy jest to konieczne dla osiągnięcia prawnie dopuszczonych celów określonych w odrębnych przepisach, ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby, gdy takie dane zostały upublicznione przez osobę której dotyczą. Takie rozwiązanie należy zaakceptować.

Przestępstwem jest również udaremnienie lub utrudnienie prowadzenia kontroli przestrzegania przepisów o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości.

W prawie karnym znajdujemy podobne rozwiązania dotyczące karania utrudniania czy uniemożliwiania przeprowadzenia kontroli, a więc ten przepis nie jest wyjątkiem. Sankcje są adekwatne do stopnia społecznej szkodliwości czynów opisanych w tych przepisach, tym bardziej, że przewidziano ich różnorodność jak grzywna, kara ograniczenia wolności czy kara pozbawienia wolności w wymiarze do lat 2 lub do lat 3.

Proponowane przepisy karne zasługują zadaniem Rady Legislacyjnej na aprobatę.

9. Projekt ustawy przewiduje szereg przepisów zmieniających, zawartych w rozdziale 9, które również zostały poddane ocenie przez Radę Legislacyjną.

9.1. Uwagi do zmian w ustawie z dnia 6 kwietnia 1990 r. o Policji

Projekt ustawy (art. 57) zmierza do rozbudowania przepisów dotyczących prowadzenia „zbioru danych DNA” (art. 21a i 21e) oraz „zbioru danych daktyloskopijnych” (art. 21h i 21n). Rada Legislacyjna zwraca uwagę, że szereg zagadnień określających zasady prowadzenia każdego z tych zbiorów jest kształtowanych odrębnie, ale w identyczny lub niemal identyczny sposób, np. bezpłatne udostępnianie danym właściwym organom (art. 21c oraz art. 21j), cel wykorzystywania zebranych danych (art. 21d oraz 21k), weryfikacja i usuwanie danych ze zbioru (21e oraz 21l), w tym powoływanie przez Komendanta Głównego Policji komisji dokonującej usunięcia danych (art. 21e ust. 5 oraz 21n).

Na tle precyzyjnie określonego zakresu informacji gromadzonych i przetwarzanych w każdym z ww. zbiorów danych oraz zasad ich przekazywania, weryfikacji i usuwania szczególnie odróżnia się ogólnie zdefiniowany zakres danych gromadzonych (przetwarzanych) w Krajowym Systemie Informacyjnym Policji, dalej KSIP (art. 57 pkt 13 dodający do ustawy o Policji art. 21nb), któremu projektodawca słusznie zamierza stworzyć ustawową podstawę działania (dotychczas KSIP funkcjonuje na podstawie Decyzji Nr 165 Komendanta Głównego Policji z dnia 25 lipca 2017 r. w sprawie funkcjonowania Krajowego Systemu Informacyjnego Policji; Dz. Urz. KGP z dnia 1 sierpnia 2017 r., wydanej na podstawie § 6 oraz § 12 ust 2 w zw. z § 10 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 21 lipca 2016 r. w sprawie przetwarzania informacji przez Policję; Dz. U. poz. 1091). Rada Legislacyjna zwraca uwagę, iż określenie, że w KSIP przetwarza się dane „w związku z realizacją zadań ustawowych” (art. 21nb ust. 1) może w praktyce okazać się niewystarczające (może rodzić trudności w ustalaniu dopuszczalnego zakresu informacji w nim gromadzonych, zasad przekazywania, weryfikacji i usuwania zebranych tam danych).

Zdaniem Rady Legislacyjnej rozstrzygnięcia wymaga także relacja między katalogiem określonym w art. 21a ust. 2 (dotyczy zbioru danych DNA) oraz w art. 21h ust. 2 (dotyczy zbioru danych daktyloskopijnych), a katalogiem określonym w art. 20 ust. 2a ustawy o Policji (zawiera generalny katalog osób, o których Policja może pobierać, uzyskiwać, gromadzić, przetwarzać i wykorzystywać informacje, w tym dane osobowe w celu realizacji zadań ustawowych, także bez ich wiedzy i zgody).

W związku z powyższym, Rada Legislacyjna wskazuje, iż w celu osiągnięcia skrótowości tekstu i zapewnienia spójności regulowanych instytucji prawnych należy posłużyć się odpowiednimi odesłaniami, aby uniknąć zbędnych powtórzeń lub tak sformułować przepisy określające zasady gromadzenia i przetwarzania informacji, aby odnosiły się one do każdego z wyodrębnianych w ustawie o Policji zbiorów danych.

9.2. Uwagi do zmian w ustawie z dnia 12 października 1990 r. o Straży Granicznej

Art. 10a ust. 13 w brzmieniu nadawanym przez opiniowany projekt ustawy – odsyła do niewłaściwego przepisu, tj. odsyła do art. 10a ust. 11, a powinien odsyłać do art. 10a ust. 12 (art. 58 projektu ustawy).

9.3. Uwagi do zmian w ustawie z dnia 6 czerwca 1997 r – Kodeks karny wykonawczy oraz w ustawie z dnia 6 lipca 2001 r. o gromadzeniu, przetwarzaniu i przekazywaniu informacji kryminalnych

Proponowane zmiany w wymienionych ustawach wynikają z dostosowania przewidzianych tam regulacji do przyjętych przez projekt rozwiązań. W ocenie Rady Legislacyjnej zawarte w tym zakresie nowelizacje są kompatybilne z propozycjami zawartymi w opiniowanym projekcie.

9.4. Uwagi do zmian w ustawie z dnia 20 marca 2009 r. o bezpieczeństwie imprez masowych

 Zawarte w art. 68 projektu zmiany do ww. ustawy mają przede wszystkim charakter techniczny. W większości polegają one na dodaniu po wyrazach „danych” wyrazu „osobowych”, zastąpieniu „bazy danych” „zbiorem danych” czy też zastąpieniu wyrazów ,,gromadzenia i przetwarzania danych” wyrazami ,,przetwarzanie danych”. Nie mniej jednak należy wskazać, że niektóre z projektowanych rozwiązań wymagają albo szczegółowego wyjaśnienia w uzasadnieniu do projektu albo dokonania ponownej analizy i ich skorygowania.

Należy tu wskazać chociażby na  zmianę zawartą w art. 68 pkt 3 projektu (art. 11 ust. 3 nowelizowanej ustawy) nakładającą na organizatora imprezy masowej obowiązek przechowywania zgromadzonych podczas utrwalania przebiegu imprezy masowej materiałów niezawierających dowodów pozwalających na wszczęcie postępowania karnego albo postępowania w sprawach o wykroczenia lub dowodów mających znaczenie dla toczących się takich postępowań maksymalnie przez 90 dni. Brak jest jednak w uzasadnieniu wyjaśnienia dlaczego ten termin został przyjęty.   

        Kolejnym przepisem wymagającym dokonania szczegółowej analizy jest zmiana zawarta w art. 68 pkt 11 projektu (art. 39 ust. 1 nowelizowanej ustawy), która jak się wydaje jest niekompletna. Należy bowiem zauważyć, że obecnie obowiązujące brzmienie tego przepisu zawiera wyliczenie podmiotów zobowiązanych do przekazywania Komendantowi Głównemu Policji informacji dotyczących bezpieczeństwa imprez masowych. Do podmiotów tych należą obecnie: Biuro Informacyjne Krajowego Rejestru Karnego oraz sądy, w których zapadło prawomocne orzeczenie o ukaraniu za wykroczenie karą inną niż kara aresztu; związki sportowe; organizatorzy; właściciele obiektów, na terenie których organizowane są masowe imprezy sportowe, w tym mecze piłki nożnej; organizatorzy turystyki; krajowi przewoźnicy realizujący publiczny transport zbiorowy. Należy zatem wskazać, że przedstawiona przez autorów projektu propozycja może w konsekwencji prowadzić do naruszenia zasady przyzwoitej legislacji wywodzonej z wynikającej z art. 2 Konstytucji zasady demokratycznego państwa prawa. Zasada państwa prawnego wymaga bowiem stanowienia norm nienagannych z punktu widzenia techniki legislacyjnej. Normy te powinny realizować założenia leżące u podstaw porządku konstytucyjnego w Polsce i strzec tego zespołu wartości, który wyraża Konstytucja. Zasady przyzwoitej legislacji obejmują między innymi wymaganie określoności przepisów, które muszą być formułowane w sposób poprawny, precyzyjny i jasny. Poprawność przepisu oznacza jego prawidłową konstrukcję z punktu widzenia językowego i logicznego i jest warunkiem podstawowym, pozwalającym na ocenę przepisu w aspekcie pozostałych kryteriów, tj. jasności i precyzyjności. Jasność przepisu oznacza jego klarowność i zrozumiałość dla adresatów, którzy mają prawo oczekiwać od racjonalnego ustawodawcy tworzenia norm prawnych niebudzących wątpliwości co do treści nakładanych obowiązków i przyznawanych praw (wyrok TK z dnia 11 grudnia 2009 r., sygn. akt Kp 8/09). Przepis ten należy ponownie przeanalizować celem określenia zakresu projektowanej zmiany.

Analogiczna uwaga odnosi się do zmiany zawartej w art. 68 pkt 13 projektu (w zakresie dodawanego art. 43 ust. 3), przy konstruowaniu której nie zachowano zasad poprawnej redakcji. Należy bowiem zauważyć, że przepis ten zawiera w swojej treści wskazanie na „zgromadzone przetwarzane w bazie zbiorze danych” informacje. Konstrukcja taka wydaje się błędna, ponieważ nomenklatura wprowadzona projektowaną ustawą dotyczy przetwarzania w zbiorze danych informacji. Identyczna zastrzeżenie odnosi się do art. 68 pkt 13 projektu (w zakresie dodawanego art. 49). Przepisy te wymagają zatem stosownej korekty.

9.5. Uwagi do zmian w ustawie z dnia 9 kwietnia 2010 r. o Służbie Więziennej

Liczne zmiany w powyższej ustawie wynikają stąd, iż dotychczasowa regulacja w dużej mierze związana jest z kwestiami, które reguluje projekt. Rodzi się tutaj konieczność dostosowania już istniejących rozwiązań do proponowanej regulacji. Proponowane zmiany są konieczne dla prawidłowego postępowania w zakresie przetwarzania informacji, tym bardziej że dotyczą one kwestii informacji kryminalnych i osób popełniających przestępstwa.

9.6. Uwagi do zmian w ustawie z dnia 11 września 2015 r. o zużytym sprzęcie elektrycznym i elektronicznym

Projektowana w art. 71 projektu zmiana w art. 2 w ust. 2 nowelizowanej ustawy obejmująca swoim zakresem rozszerzenie katalogu sprzętu, do którego nie stosuje się przepisów nowelizowanej ustawy, jest nieprecyzyjna. Odsyła ona bowiem do bliżej nieokreślonych przepisów projektowanej ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Regulacja taka może prowadzić do naruszenia wynikającej z art. 2 Konstytucji zasady demokratycznego państwa prawnego i wywodzonej z niej zasady określoności przepisów prawa. Wymóg zachowania określoności regulacji prawnej ma charakter dyrektywy ogólnosystemowej nakładającej na ustawodawcę obowiązek jej optymalizacji w procesie stanowienia prawa. Ustawodawca powinien dążyć do możliwie maksymalnej realizacji wymogów składających się na tę zasadę. Z powyższych względów na ustawodawcy ciąży obowiązek tworzenia przepisów prawa możliwie najbardziej określonych w danym wypadku, zarówno pod względem ich treści, jak i formy. Tym samym stopień określoności konkretnych regulacji podlega każdorazowej relatywizacji w odniesieniu do okoliczności faktycznych i prawnych, jakie towarzyszą podejmowanej regulacji. Relatywizacja ta stanowi naturalną konsekwencję nieostrości języka, w którym redagowane są teksty prawne oraz różnorodności materii podlegającej normowaniu (wyrok TK z dnia 29 marca 2010 r., sygn. akt K 8/08).

Na marginesie należy zauważyć, że o informatycznych nośnikach danych wykorzystywanych do przetwarzania danych osobowych stanowi art. 39 projektowanej ustawy. Ponadto nie jest do końca jasne czy autorom projektu ustawy chodziło o odesłanie do projektowanej ustawy w zakresie nośników danych czy danych osobowych. Uzasadnienie do projektowanej zmiany nie zawiera żadnego wyjaśnienia w tym zakresie.

9.7. Uwagi do zmian w ustawie z dnia 28 stycznia 2016 r. – Prawo o prokuraturze

Zawarta w art. 72 projektu nowelizacja ww. ustawy dodająca w art. 13 § 7 narusza zasadę przyzwoitej legislacji wywodzoną z wynikającej z art. 2 Konstytucji zasady demokratycznego państwa prawa. Zasada państwa prawnego wymaga bowiem stanowienia norm nienagannych z punktu widzenia techniki legislacyjnej. Normy te powinny realizować założenia leżące u podstaw porządku konstytucyjnego w Polsce i strzec tego zespołu wartości, który wyraża Konstytucja. Zasady przyzwoitej legislacji obejmują między innymi wymaganie określoności przepisów, które muszą być formułowane w sposób poprawny, precyzyjny i jasny. Poprawność przepisu oznacza jego prawidłową konstrukcję z punktu widzenia językowego i logicznego i jest warunkiem podstawowym, pozwalającym na ocenę przepisu w aspekcie pozostałych kryteriów, tj. jasności i precyzyjności. Tymczasem projektowana zmiana w swojej treści odsyła do ust. 2, gdy tymczasem ustawa – Prawo o prokuraturze nie posługuje się jednostką systematyzacyjną jaką jest ustęp. Ponadto wskazany „ust. 2” nie zawiera w swojej treści zadań, w zakresie których następuje odesłanie, a jedynie przepis ten wskazuje czyim przełożonym jest Prokurator Generalny.  

Niezależnie od tego należy zauważyć, że obowiązująca ustawa – Prawo o prokuraturze nie odsyła w swojej treści do rozporządzenia 2016/679. W związku z tym należy podać pełny tytuł przywoływanego rozporządzenia, bowiem zgodnie z § 158 Zasad techniki prawodawczej stanowiących załącznik do rozporządzenia Prezesa Rady Ministrów z dnia 20 czerwca 2002 r. w sprawie „Zasad techniki prawodawczej” (Dz. U. z 2016 r. poz. 283) jeżeli w akcie normatywnym odsyła się do innego aktu normatywnego, przy odesłaniu przytacza się w całości aktualny tytuł tego aktu oraz oznaczenie pozycji oraz, w razie potrzeby, rocznika dziennika urzędowego, w którym ten akt ogłoszono. Wówczas też można wprowadzić skrót dotyczący tytułu aktu normatywnego i dalej się tym skrótem posługiwać.

9.8. Uwagi do zmian w ustawie z dnia 16 listopada 2016 r. o Krajowej Administracji Skarbowej

Zmiana zawarta w art. 74 pkt 1 projektu dodająca w art. 35 nowelizowanej ustawy nowy ust. 5 przewidujący, że do przetwarzania danych osobowych w CRDP stosuje się rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; Dz. Urz. UE L 119 z 4.5.2016, str. 1) z wyłączeniem art. 12–22 i art. 34 tego rozporządzenia, z zastrzeżeniem ust. 6, budzi wątpliwości co do zgodności z Konstytucją. Należy bowiem zauważyć, że wyłączane art. 12–22 i art. 34 ww. rozporządzenia obejmują swoim zakresem regulacji przepisy dotyczące praw osób, których dane osobowe dotyczą (art. 12-22) oraz przepis nakładający na administratora danych obowiązek bezzwłocznego zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, które może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych (art. 34). Wyłączenie to, jak wynika z treści dodawanych przepisów, będzie miało zastosowanie w przypadku przetwarzania danych osobowych przez KAS w celach niezwiązanych z zapobieganiem i zwalczaniem przestępczości. Zauważyć należy, że autorzy projektu nie wyjaśnili w uzasadnieniu ratio legis tych rozwiązań, które w istocie mogą prowadzić do naruszenia wynikającego z art. 51 Konstytucji prawa do ochrony danych osobowych poprzez ograniczenie praw jednostki z tym związanych, co z kolei może prowadzić do naruszenia wynikającego z art. 47 Konstytucji prawa do prywatności.

Niezależnie od powyższego należy zauważyć, że zawarta w art. 74 pkt 4 projektu nowelizacja ww. ustawy polegająca na dodaniu po art. 52a nowelizowanej ustawy art. 52b-52d narusza zasadę przyzwoitej legislacji. Zasada ta nakazuje aby przepisy były jasne i zrozumiałe dla adresata. Tymczasem w nowelizowanej ustawie brak jest jednostki systematyzacyjnej oznaczonej jako „art. 52a”. 

9.9. Uwagi do zmian w ustawie z dnia 8 grudnia 2017 r. o Służbie Ochrony Państwa

W dodawanym do ustawy art. 70a ust. 4 pkt 1 błędnie wskazano tytuł ustawy. W przepisie tym powinno znaleźć się odesłanie do ustawy, która zostanie uchwalona na podstawie opiniowanego projektu ustawy (art. 75 opiniowanego projektu ustawy).

9.10. Uwagi do zmian w ustawie z dnia 10 stycznia 2018 r. o szczególnych rozwiązaniach związanych z organizacją w Rzeczypospolitej Polskiej sesji Konferencji Stron Ramowej konwencji Narodów Zjednoczonych w sprawie zmian klimatu

Należy zauważyć, że projektowana ustawa w art. 76 w pkt 2 lit. b (art. 18 ust. 2 nowelizowanej ustawy) nakłada na Policję i Służbę Ochrony Państwa, w przypadku zamiaru udostępniania informacji, w tym danych osobowych, uzyskanych w celu zapewnienia bezpieczeństwa i porządku publicznego podczas Konferencji COP24, a także w celu zapobieżenia popełnianiu przestępstw i wykroczeń oraz wykrywania i ścigania ich sprawców, obowiązek uzyskania zgody organu, służby lub instytucji, które te informacje uzyskały lub przetwarzały. Jednocześnie projektowane przepisy modyfikują również zawartą w art. 18 ust. 3 pkt 1 nowelizowanej ustawy (art. 76 pkt 2 lit. c projektu) przesłankę odmowy udzielenia informacji poprzez jej rozszerzenie o Służbę Ochrony Państwa. Wydaje się jednak, że konsekwentnie powinna również zostać zmodyfikowana w analogiczny sposób przesłanka odmowy zawarta w art. 18 ust. 3 pkt 2 nowelizowanej ustawy dotycząca braku uzyskania przez Policję zgody organu, służby lub instytucji, które te informacje uzyskały lub przetwarzały. Zmiana taka wydaje się celowa skoro autorzy projektu nałożyli również obowiązek uzyskania takiej zgody na Służbę Ochrony Państwa.

9.11. Uwagi do zmian w ustawie z dnia 26 stycznia 2018 r. o Straży Marszałkowskiej

Jak wynika z zawartej w art. 77 pkt 1 lit. a projektu zmiany polegającej na dodaniu w art. 4 nowelizowanej ustawy nowego ust. 2b przetwarzanie danych osobowych przez Straż Marszałkowską w celach innych niż rozpoznawanie, zapobieganie, wykrywanie i zwalczanie czynów zabronionych, w tym zagrożeń dla bezpieczeństwa i porządku publicznego, prowadzenie postępowań w sprawach dotyczących tych czynów oraz wykonywanie orzeczeń w nich wydanych, kar porządkowych i środków przymusu odbywa się na zasadach określonych w rozporządzeniu Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; Dz. Urz. UE L 119 z 4.05.2016, str. 1) z wyłączeniem przepisów art. 12-22 oraz art. 34 tego rozporządzenia, budzi wątpliwości co do zgodności z Konstytucją. Należy bowiem zauważyć, że  wyłączone art. 12–22 i art. 34 ww. rozporządzenia obejmują swoim zakresem regulacji przepisy dotyczące praw osób, których dane osobowe dotyczą (art. 12-22) oraz przepis nakładający na administratora danych obowiązek bezzwłocznego zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, które może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych (art. 34). Wyłączenie to, jak wynika z treści dodawanych przepisów, będzie miało zastosowanie w przypadku przetwarzania danych osobowych przez Straż Marszałkowską w celach niezwiązanych z zapobieganiem i zwalczaniem przestępczości. Zauważyć należy, że autorzy projektu nie wyjaśnili w uzasadnieniu ratio legis tych rozwiązań, które w istocie mogą prowadzić do naruszenia wynikającego z art. 51 Konstytucji prawa do ochrony danych osobowych poprzez ograniczenie praw jednostki z tym związanych, co z kolei może prowadzić do naruszenia wynikającego z art. 47 Konstytucji prawa do prywatności.

Analogiczna uwaga dotyczy art. 19a ust. 2 nowelizowanej ustawy (art. 77 pkt 2 projektu) w zakresie, w jakim przepis ten dotyczy wyłączenia stosowania art. 12–22 i art. 34 ww. rozporządzenia 2016/679 do przetwarzania danych osobowych związanych z prowadzeniem postępowań kwalifikacyjnych do służby w Straży Marszałkowskiej.

Ponadto niejasna jest relacja dodawanego w nowelizowanej ustawie art. 19a ust. 2 i ust. 5 (art. 77 pkt 2 projektu). Wydaje się bowiem, że przepisy te wzajemnie się wykluczają, bowiem ust. 2 jednoznacznie wskazuje, że do przetwarzania danych osobowych w zakresie niezbędnym do prowadzenia postępowań kwalifikacyjnych do służby w Straży Marszałkowskiej, przenoszenia do służby w Straży Marszałkowskiej oraz w zakresie wynikającym z przebiegu stosunku służbowego funkcjonariuszy Straży Marszałkowskiej, także po jego ustaniu nie stosuje się art. 12-22 i art. 34 rozporządzenia 2016/679. Tymczasem ust. 5 art. 19a nowelizowanej ustawy wskazuje natomiast, że wyłączenie stosowania art. 12-22 i art. 34 rozporządzenia 2016/679 będzie miało miejsce jedynie w przypadku informacji, w tym danych osobowych, niezbędnych do zapewnienia prawidłowej realizacji zadań, obowiązków lub uprawnień wynikających z ustawy. Przepisy te wymagają zatem ponownej analizy. Należy również zauważyć, że brak jest szczegółowego uzasadnienia do omawianych regulacji.

10. Zawarte w projekcie regulacje przejściowe co do zasady nie budzą wątpliwości, poza poniższymi przepisami.

 W art. 79 mowa jest o prawie właściwym dla „czynności kontrolnych wszczętych i niezakończonych przed dniem 6 maja 2018 r.”. Projekt nie rozstrzyga jednak o tym, jakie przepisy należy stosować do czynności wszczętych po dniu 6 maja 2018 r.

Art. 82 mówi o „sprawach sądowych, sądowo-administracyjnych lub administracyjnych […], w których stroną lub uczestnikiem był Generalny Inspektor Ochrony Danych Osobowych”. W przepisie tym nie ma potrzeby wyodrębniania spraw „sądowo-administracyjnych”, gdyż sprawy te mieszczą się w pojęciu spraw sądowych. Poza tym pojęcie strony lub uczestnika powinno być odnoszone nie do sprawy sądowej czy administracyjnej, lecz do postępowania sądowego lub administracyjnego.

Z kolei w art. 88 jest mowa o „komisyjnym zniszczeniu” informatycznych nośników danych. Nie wiadomo jednak, jak ma wyglądać takie komisyjne zniszczenie, jaka komisja ma to czynić, czy ma to być zaprotokołowana czynność, kto jest odpowiedzialny za przeprowadzenie tej czynności itd. Może to rodzić istotne wątpliwości praktyczne.

 

V. Wnioski

Przedstawione powyżej uwagi prowadzą do kilku wniosków.

 1. Przygotowanie projektowanej ustawy „obok” nowej ustawy o ochronie danych osobowych będzie prowadziło do dekonsolidacji źródeł prawnej regulacji dziedziny, jaką jest ochrona danych osobowych.

2. Opiniowany projekt ustawy wymaga dopracowania redakcyjnego, czego wyrazem są odnoszące się do tej kwestii uwagi zamieszczone w treści opinii.

3. W uzasadnieniu do projektu ustawy w wielu przypadkach wskazanych w niniejszej opinii brakuje argumentacji przekonującej o słuszności proponowanych regulacji. Ponadto w treści uzasadnienia dostrzeżono w kilku miejscach błędy rzeczowe i redakcyjne.

4. Projektodawca nie przedstawił tabeli zbieżności służącej ocenie projektu pod kątem zgodności z wdrażaną dyrektywą, o której mowa w § 30 ust. 1 pkt 1 Regulaminu pracy Rady Ministrów.

5. W ocenie Rady Legislacyjnej pewnej weryfikacji wymaga określenie zakresu przedmiotowego regulacji projektowanej ustawy.

6. Przedstawione w niniejszej opinii wątpliwości odnoszą się także do niektórych definicji ustawowych zaproponowanych w projekcie ustawy.

7. Rada Legislacyjna wskazuje też na pewne rozbieżności pojawiające się pomiędzy projektowanymi przepisami i treścią art. 51 Konstytucji wyrażającego konstytucyjne prawo do ochrony danych osobowych oraz z wynikającą między innymi z art. 31 ust. 3 Konstytucji zasadą proporcjonalności.

8. Uwagi i wątpliwości Rady dotyczą także niektórych rozwiązań proponowanych w rozdziałach dotyczących nadzoru nad przetwarzaniem danych osobowych, zasad przetwarzania danych osobowych, praw osób, których dane dotyczą oraz współpracy z organami nadzorczymi Unii Europejskiej.

9. Rada Legislacyjna zaleca projektodawcy zwrócenie szczególnej uwagi na wątpliwości i zastrzeżenia dotyczące rozdziału 7 „Środki ochrony prawnej i odpowiedzialności prawnej”.

10. Rada Legislacyjna pozytywnie ocenia proponowane w projekcie przepisy karne. Poza kwestiami ściśle redakcyjnymi również przepisy zmieniające inne ustawy oraz regulacje przejściowe zasługują na aprobatę.

Podsumowując należy uznać, że rozważenie i uwzględnienie zgłoszonych wyżej uwag i wątpliwości da merytoryczne podstawy do kontynuowania prac legislacyjnych nad przedstawionym do zaopiniowania projektem ustawy z dnia 18 kwietnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości.

 

 

Na podstawie projektu opinii przygotowanej przez: dra hab. Tomasza Bąkowskiego, prof. UG, prof. dr hab. Marka Bojarskiego, prof. dr hab. Annę Wyrozumską, dra hab. Marka Dobrowolskiego, dra hab. Bogumiła Szmulika, prof. UKSW i dra hab. Marcina Wiącka Rada Legislacyjna przyjęła na posiedzeniu w dniu 22 czerwca 2018 r.